ACL、RBAC、ABAC三大權(quán)限管理模型，到底怎么選?

多年以后，面對IAM后臺，運(yùn)維小李將會想起師父帶他去見識權(quán)限管理的那個遙遠(yuǎn)的下午。當(dāng)時，公司是個二十多個員工的小企業(yè)，一個個業(yè)務(wù)應(yīng)用都有獨(dú)立后臺，管理簡單，每個應(yīng)用一個訪問控制列表，列表里寫明了員工的賬號和權(quán)限，像圖書館的借書記錄。 后來，公司的員工越來越多，業(yè)務(wù)應(yīng)用越來越多。小李開始創(chuàng)建用戶組，給員工分配角色，權(quán)限管理工作量越來越大。再后來，小李了解到有種權(quán)限管理模型叫ABAC，又開始研究如何給應(yīng)用配置訪問控制，工作量進(jìn)一步攀升。小李有些迷茫，模型越來越先進(jìn)，但權(quán)限管理卻越來越復(fù)雜，到底怎么搞才能讓權(quán)限管理又精細(xì)又準(zhǔn)確、又便利又安全？

三大權(quán)限管理模型怎么選？

想弄清小李遇到的難題，先要厘清權(quán)限管理的目的。權(quán)限管理，是為了讓用戶可以訪問而且只能訪問自己被授權(quán)的資源，不能多也不能少。這個目的需要借助各種權(quán)限管理模型來實(shí)現(xiàn)。ACL（訪問控制列表）是率先登場的權(quán)限管理模型。它的概念很簡單，每一個需要被訪問控制機(jī)制保護(hù)的資源對象（稱為客體）都維持一個獨(dú)立的關(guān)聯(lián)映射表，其中記錄了對該客體進(jìn)行訪問的實(shí)體（稱為主體）被授予訪問客體的權(quán)限，以及允許對客體執(zhí)行哪些操作。當(dāng)主體試圖訪問客體時，系統(tǒng)會檢查映射表，確定是否允許訪問。

以圖書館為例，ACL相當(dāng)于在每本書上都附了一張借閱許可清單，列出了每一個有權(quán)限借書的人，以及他們可以借閱的時間。這種方式簡單實(shí)用，卻存在兩大問題，一是每次訪問時都必須檢查客體的ACL，會耗費(fèi)一定資源；二來大用戶量、多業(yè)務(wù)應(yīng)用的環(huán)境下，ACL的添加、刪除和更改比較復(fù)雜，容易出現(xiàn)錯誤。RBAC（基于角色的訪問控制）是比ACL更新的權(quán)限管理模型。它采用了可分配給主體具有特定權(quán)限集的預(yù)定義角色，訪問權(quán)限由為個體分配角色的人提前定義，最終由客體屬主在確定角色權(quán)限時明確。在處理訪問請求時，系統(tǒng)會評估主體的角色以及角色對應(yīng)的權(quán)限，生成訪問控制策略。

還是以圖書館為例，RBAC相當(dāng)于給每一個借書人分配了“學(xué)生”、“老師”、“某課題組成員”等不同的角色，“學(xué)生”可以借10本書，“老師”可以借20本書，“某課題組成員”可以借閱與課題有關(guān)的所有書籍。在企業(yè)內(nèi)部，角色可以以級別、部門、項目等維度定義，一個員工可以有多個角色。相比ACL，RBAC能夠借助中間件實(shí)現(xiàn)對多個系統(tǒng)和資源訪問權(quán)限的集中管理，簡化了權(quán)限管理流程，使得權(quán)限管理更規(guī)范、更便捷。 RBAC相比ACL更適應(yīng)多用戶、多應(yīng)用、多資源的大型組織，但它的授權(quán)粒度只到角色組，難以對具體的個體實(shí)施細(xì)粒度的訪問控制。為了彌補(bǔ)這個缺陷，ABAC模型（基于屬性的訪問控制）應(yīng)運(yùn)而生。與RBAC不同，其訪問控制決策不再以單一的角色為依據(jù)，而是基于一組與請求者、環(huán)境和/或資源本身相關(guān)的特征或?qū)傩?。在ABAC模型中，系統(tǒng)將權(quán)限直接分配給訪問主體。當(dāng)主體請求訪問后，ABAC引擎通過檢查與訪問請求相關(guān)的各種屬性值，基于預(yù)設(shè)的訪問控制策略，確定允許或拒絕訪問。

如果應(yīng)用了ABAC，圖書館的借閱管理將更加精細(xì)、靈活，比如“老師”平時可以同時借20本書，寒暑假只能借10本，“學(xué)生”在假期不能借書，“某課題組成員”如果假期留校仍可無限量借書，離校則不能借書。在ABAC模型中，企業(yè)可以基于時間、地點(diǎn)、IP、設(shè)備、網(wǎng)絡(luò)、操作系統(tǒng)、風(fēng)險級別等屬性制定不同的訪問控制策略，實(shí)現(xiàn)細(xì)粒度的權(quán)限管理和動態(tài)訪問控制，幾乎能滿足所有類型的需求，是真正的“高級貨”。

芯盾時代IAM，三種模型按需選擇

面對三種權(quán)限管理模型，很多企業(yè)會陷入選擇困難癥，因為每一種模型都有各自的優(yōu)缺點(diǎn)，都難以解決企業(yè)所有的權(quán)限管理問題。對此，芯盾時代的IAM產(chǎn)品經(jīng)理表示，小孩子才做選擇題，成年人當(dāng)然全都要。芯盾時代用戶身份與訪問管理平臺（IAM）把三種授權(quán)模型全部安排上，企業(yè)可以基于自身人員規(guī)模、業(yè)務(wù)規(guī)模，資源的重要程度、訪問場景匹配適合的權(quán)限管理模型：

1.針對只對特殊用戶開放的特殊資源，采用ACL模型管理訪問權(quán)限，人工管理訪問權(quán)限，權(quán)限具體到人，實(shí)現(xiàn)對特殊應(yīng)用、特殊用戶的精準(zhǔn)權(quán)限管理； 2.針對重要程度一般、訪問場景簡單、訪問人數(shù)多的資源，采用RBAC模型，以角色區(qū)分訪問權(quán)限，實(shí)現(xiàn)應(yīng)用的自動化授權(quán)，簡化權(quán)限管理工作的同時保證安全性； 3.針對重要程度高、訪問場景復(fù)雜的資源，采用ABAC模型，全面、精準(zhǔn)的定義、維護(hù)各種屬性，靈活的設(shè)置訪問控制策略，進(jìn)行細(xì)粒度的訪問權(quán)限管理和動態(tài)訪問控制，在提升資源安全性的同時保證訪問的便利性。

借助芯盾時代IAM，企業(yè)能夠一站式的建立完善的權(quán)限管理體系，分類、分級管理資源訪問的權(quán)限管理，并通過用戶自動授權(quán)、自助申請權(quán)限簡化權(quán)限管理流程，形成完整的自動化授權(quán)與賬號管理體系，實(shí)現(xiàn)業(yè)務(wù)應(yīng)用的統(tǒng)一權(quán)限管理。 統(tǒng)一的權(quán)限管理只是芯盾時代IAM四大核心功能之一，它與其它三大功能一起，為企業(yè)構(gòu)建規(guī)范的統(tǒng)一身份管理平臺：

1.統(tǒng)一身份管理：芯盾時代IAM能夠整合企業(yè)零散的組織用戶數(shù)據(jù)，為用戶生成唯一可信的數(shù)字身份標(biāo)識，實(shí)現(xiàn)用戶用戶、權(quán)限、應(yīng)用賬號自動化流轉(zhuǎn)機(jī)制，建立身份安全基線，為各種權(quán)限管理模型的實(shí)現(xiàn)提供可信的身份信息；2.統(tǒng)一身份認(rèn)證：芯盾時代IAM依托移動安全核心技術(shù)，將認(rèn)證能力拓展到設(shè)備層面，提供應(yīng)用統(tǒng)一門戶、單點(diǎn)登錄、免密認(rèn)證能力，支持傳統(tǒng)認(rèn)證、移動認(rèn)證、社交認(rèn)證、生物認(rèn)證、證書認(rèn)證等技術(shù)，在ABAC授權(quán)模式下提供多種二次認(rèn)證方式，保證訪問控制策略的有效性和便捷性；3.統(tǒng)一審計管理：芯盾時代IAM利用零信任模型、流式計算技術(shù)、規(guī)則引擎技術(shù)，實(shí)現(xiàn)對管理員操作行為、用戶登錄認(rèn)證行為、用戶應(yīng)用訪問行為的風(fēng)險審計與動態(tài)訪問控制功能。 有了芯盾時代IAM，老板再也不用擔(dān)心公司的訪問權(quán)限管理，企業(yè)業(yè)務(wù)更加安全、員工操作更加便利、運(yùn)維工作更加簡單。

審核編輯 ：李倩